Autorización en base de datos SQL de Microsoft Fabric
Se aplica a:✅Base de datos SQL de Microsoft Fabric
En este artículo se explica el control de acceso para los elementos de base de datos SQL en Fabric.
Puede configurar el acceso para la base de datos SQL en dos niveles:
- En Fabric, mediante controles de acceso de Fabric: roles de área de trabajo y permisos de elemento.
- Dentro de la base de datos, mediante controles de acceso de SQL, como permisos de SQL o roles de nivel de base de datos.
Los controles de acceso en estos dos niveles diferentes funcionan conjuntamente.
- Para conectarse a una base de datos, un usuario debe tener al menos el permiso de lectura en Fabric para el elemento de base de datos de Fabric.
- Puede conceder acceso a datos o funcionalidades específicas al usar controles de acceso de Fabric, controles de acceso de SQL o ambos. Solo se puede conceder un permiso para conectarse a la base de datos con roles o permisos de Fabric.
- Denegar el acceso (con la instrucción Transact-SQL DENY) en la base de datos siempre tiene prioridad.
Nota:
Las directivas de protección de Microsoft Purview pueden aumentar el permiso efectivo para los usuarios de bases de datos. Si su organización usa Microsoft Purview con Microsoft Fabric, consulte Protección de datos confidenciales en SQL Database con directivas de protección de Microsoft Purview.
Controles de acceso de Fabric
En Fabric, puede controlar el acceso mediante roles de área de trabajo y permisos de elemento de Fabric.
Roles de área de trabajo
Los roles de área de trabajo de Fabric permiten administrar quién puede realizar determinadas funciones en un área de trabajo de Microsoft Fabric.
- Para obtener información general sobre los roles de área de trabajo, consulte Roles en áreas de trabajo.
- Para obtener instrucciones sobre cómo asignar roles de área de trabajo, consulte Conceder acceso a los usuarios de las áreas de trabajo.
En la tabla siguiente se capturan las funcionalidades específicas de la base de datos SQL y los miembros de roles de área de trabajo concretos pueden tener acceso.
| Funcionalidad | Rol de administrador | Rol de miembro | Rol de colaborador | Rol de espectador |
|---|---|---|---|---|
| Acceso administrativo completo y acceso total a los datos | Sí | Sí | Sí | No |
| Leer datos y metadatos | Sí | Sí | Sí | Sí |
| Conexión a la base de datos | Sí | Sí | Sí | Sí |
Permisos de elemento
Los permisos de elemento de Fabric controlan el acceso a los elementos individuales de Fabric de un área de trabajo. Distintos elementos de Fabric tienen permisos diferentes. En la tabla siguiente se enumeran los permisos de elementos que son aplicables a los elementos de base de datos SQL.
| Permiso | Funcionalidad |
|---|---|
| Leer | Conectarse a la base de datos |
| ReadData | Leer datos y metadatos |
| ReadAll | Leer datos reflejados directamente desde archivos OneLake |
| Compartir | Compartir elemento y administrar permisos de elemento de Fabric |
| Escribir | Acceso administrativo completo y acceso total a los datos |
La forma más sencilla de conceder permisos de elemento es agregar un usuario, una aplicación o un grupo a un rol de área de trabajo. La pertenencia a cada rol implica que los miembros del rol tienen un subconjunto de permisos para todas las bases de datos del área de trabajo, como se especifica en la tabla siguiente.
| Role | Lectura | ReadAll | ReadData | Escribir | Compartir |
|---|---|---|---|---|---|
| Administrador | Sí | Sí | Sí | Sí | Sí |
| Member | Sí | Sí | Sí | Sí | Sí |
| Colaborador | Sí | Sí | Sí | Sí | No |
| Visor | Sí | Sí | Sí | No | No |
Compartir permisos de elemento
También puede conceder los permisos Read, ReadAll y ReadData para una base de datos individual mediante el uso compartido del elemento de base de datos a través de la acción rápida Compartir en el portal de Fabric. Puede ver y administrar los permisos concedidos para un elemento de base de datos a través de la acción rápida Administrar permisos en el portal de Fabric. Para obtener más información, consulte Uso compartido de la base de datos SQL y administración de permisos.
Controles de acceso de SQL
Los siguientes conceptos de SQL permiten un control de acceso mucho más pormenorizado en comparación con los roles de área de trabajo y permisos de elemento de Fabric.
- Roles de nivel de base de datos. Existen dos tipos de roles en el nivel de base de datos: los roles fijos de base de datos que están predefinidos en la base de datos y los roles de base de datos definidos por el usuario que puede crear.
- Puede administrar la pertenencia a roles de nivel de base de datos y definir roles definidos por el usuario para escenarios comunes en el portal de Fabric.
- Para obtener más información, consulte Administración de roles de nivel de base de datos SQL desde el portal de Fabric.
- También puede administrar definiciones de roles y de pertenencia a roles mediante Transact-SQL.
- Para agregar y quitar usuarios en un rol de base de datos, use las opciones
ADD MEMBERyDROP MEMBERde la instrucción ALTER ROLE . Para administrar definiciones de roles definidos por el usuario, utilice CREATE ROLE, ALTER ROLE y DROP ROLE.
- Para agregar y quitar usuarios en un rol de base de datos, use las opciones
- Puede administrar la pertenencia a roles de nivel de base de datos y definir roles definidos por el usuario para escenarios comunes en el portal de Fabric.
- Permisos de SQL. Puede administrar permisos para usuarios o roles de base de datos mediante las instrucciones Transact-SQL GRANT, REVOKE y DENY.
- La seguridad a nivel de fila (RLS) permite controlar el acceso a filas específicas de una tabla.
Para obtener más información, consulte Configuración del control de acceso pormenorizado para una base de datos SQL.